産業・制御システムを狙うサイバー攻撃の動機とは

受講者：前回のお話で、工場などの制御プロセス、制御システムはかなり危うい状況にあることがわかりました。一方で、制御システムに対するサイバー攻撃はグローバルな展開が当たり前のようですので、国内の工場も攻撃対象として例外となることはありえませんよね。

　そこでご質問です。日本国内にある工場や製造業などの施設に対するサイバー攻撃は、どのような実態にあるのでしょうか？また、こうしたサイバー攻撃は、企業の事業継続性、行政の業務継続性にどのような影響を与えるのでしょうか？

M氏：残念ながら、すでに日本でも、水面下では製造業に対するサイバー攻撃が増加していると推察されます。しかし、そのすべては明らかになっていません。

　日本は、世界でも稀に見る高度な自動制御系のシステムを稼働させている国ですが、工場や制御プロセスに対するサイバー攻撃は決して無関係とは言っていられないません。VEC（Virtual Engineering Company）（注1）や制御システムセキュリティセンター（CSSC）（注2）の報告によりますと、既に毎日のように、工場では機器不良など原因が定かではない理由で稼働を停させるケースが多発しています。

注1　VEC（Virtual Engineering Company）

　日本の製造業に関して、幅広い分野で研究報告、ソリューション整理の活動を展開している組織。製造業における要素技術、エンジニアリング、システム・インテグレーションの応用技術などを融合し、それらの最新複合情報を共有化すること、これらニーズに対するソリューション構築をの提案などについて研究報告を行っている。
　定期的に「制御システムセキュリティ対策ソリューションカンファレンス」を開催しており、同カンファレンスなどを通じて、制御プロセスや制御システムに対するサイバー攻撃が増加していることに警鐘を鳴らし、具体的な対処方法に関する講習を実施している。また、制御機器（組み込み機器）のセキュリティー保証に関する認証制度「EDSA」（Embedded Device Security Assurance）などについて提案し、理解を促している。

注2　制御システムセキュリティセンター（CSSC）

　発電所やガスプラントなど、重要インフラの制御システムのセキュリティを確保するため、研究開発、国際標準化活動、認証、人材育成、普及啓発、各システムのセキュリティ検証にいたる各業務を遂行するための研究開発ならびに国際連携を促進するための技術研究組合。
　制御システムにおける高セキュア化技術やシステムセキュリティ検証技術の研究開発、制御セキュリティテストベッドの研究開発などに携わっている。

M氏：脅かすつもりはありませんが、これらのシステム停止は、ソフトウェアのバグか設定ミスが原因なのか、それともサイバー攻撃やコンピューターウイルスによるものか、判然としないケースも多数含まれています。当初、機器不良による生産停止として処理されていても、厳密な解析を行ってみると、このうちのかなりの割合でサイバー攻撃やコンピューターウイルスによるものであることが判明しています。

受講者：そうすると、実態はもっと深刻な状況ということがありうるわけですね。それにしても、サイバー攻撃が仕掛けたり、高度な制御システムを狙うということは、単純な軍事目的以外に、社会や行政組織、そして産業界の混乱に狙いを定めた組織犯罪や知能犯罪といった、かなり性質の悪い犯罪組織の仕業であるケースも混じっているのではないでしょうか。その辺りについて、ご説明いただけますか？

M氏：はい。おっしゃるとおり、極めて複雑な背景や動機が背後にあります。制御システムを狙う場合、その攻撃は当の制御システムから離れた外部からだけやってくるのではありません。したがって、制御システムのセキュリティ管理では、外部からのものと内部からのもの、両方に対して目を配っておく必要があります。

　2011年7月に経済産業省が発表した「サイバーセキュリティと経済 研究会報告書　中間とりまとめ」によりますと、米国のセキュリティ情報に関する調査研究団体であるSecurity Incidents Organizationの統計データでは、セキュリティー・インシデント（コンピュータ・セキュリティー関連の事件・事故のこと）は意図的に起こされたものが2割、そうでないものが8割とされています。そして、それぞれのケースで組織内部の者による犯行がそれぞれ53％、14％含まれているとしています（注記参照）。

　これはどういうことかといいますと、産業界や社会の混乱を狙ったインフラへのサイバー攻撃は単純な動機ではないということです。さまざまな動機や背景が絡んでいることを理解しておかなければなりません。

　こうした攻撃の主体は、海外の犯行組織や訓練された軍事組織が関与しているテロリストによるものの他に、組織内部の人間が悪さをしたり、あるいは、海外の犯行組織やテロリスト組織と隠密に手を組み、制御システムのなかで特にぜい弱な部分を狙い撃ちするような巧妙なものまで、多様なアプローチ、多彩な存在が関与しているといわれています。

　したがって、制御システムを運用し、扱う組織においては、ぜい弱な部分を外部に探知されないよう、多角度の視点で防御する必要があります。もし、運悪くぜい弱な部分を狙いうちにされてしまった場合には、サプライチェーンの停止や障害など、インシデントによる被害の影響範囲がきわめて広範囲に及ぶことを覚悟しなければならないでしょう。また、工場や制御システムを保有する企業に強烈なダメージを与えてしまう可能性があることも認識しておくべきでしょう。

　制御システムや制御プロセスを守るということは、会社組織の資産を防護することと同時に、サプライチェーンに関与する組織を含め、社会・環境へのリスク、そして企業の事業継続性への影響を勘案しなければならないことを肝に銘じなければならないと思います。

受講者：サイバー攻撃を使った犯罪組織が存在するとおっしゃいましたが、それはどのような組織なのでしょうか？

M氏：はい。これにも複雑な背景や動機が背後にあると思われます。

　グローバルな経済活動の視点でみれば、世界には、企業どうしの競争だけでなく、恐喝、株価操作といったあからさまな緊張や軋轢が現に存在しています。一方で、制御システムを標的にしたサイバー攻撃を仕掛ける、あまり表には出てこない組織が暗躍しているといわれています。その実態は明かされておらず、必ずしも明確ではありませんが、情報システムや電子商取引系のシステムと同様に、工業用制御システムでも、悪意を持った攻撃元から組織的な攻撃を受けたという事例報告が増加しているのは事実です。また、昨今、こうしたサイバー攻撃のためのツールを売買するサイトさえ登場しています。

　こうした悪意を持ったサイバー攻撃は、攻撃のためのツールをサイトから入手して実行に移す単純なハッカーによるものもありますが、一方で、高度に訓練された組織的な犯罪組織も含まれているのも事実です。後者の場合には、国家的な産業組織が保有する設備や施設に損害を与えることで、国家レベルの混乱を起こすことが目的です。したがいまして、工場の制御システムを保有・運営する企業ではこうした厳しい現実があることを直視し、そのセキュリティ対策を打っておくことが喫緊の課題になっていることをシビアに認識すべきでしょう。

【次ページ】サイバー防衛では技術力より法・ルール整備が最大の障害